维先生的博客 https://weiyiling.cn/one/ zh-CN http://blogs.law.harvard.edu/tech/rss 60 NPM软件供应链安全事件 https://weiyiling.cn/one/multi_npmjs_hijack_review Wed, 10 Sep 2025 13:53:00 +0000 维先生 供应链安全 恶意代码分析 63@https://weiyiling.cn/ <div><div><a href="https://weiyiling.cn/media/blogs/one/quick-uploads/p63/npm_break.png?mtime=1757512403" rel="lightbox[p63]" id="link_1037"><img alt="NPM软件供应链安全事件" src="https://weiyiling.cn/media/blogs/one/quick-uploads/p63/_evocache/npm_break.png/fit-320x320.png?mtime=1757512403" width="320" height="213" class="loadimg" /></a></div></div><h3>0x00 前言</h3> <p>这2天NPM仓库又遭受严重的供应链攻击,看起来性质和LedgerHQ库的事件差不多,目的也是盗窃加密货币。虽然这次并没有成功盗取到币,但是影响范围巨大,目前至少已发现了24款核心库被黑,包括chalk和debug等知名的JS库,这些库每周有着超过20亿级别的下载量,对JavaScript生态圈造成了巨大的冲击。今天也是看到朋友圈在转发,就趁着热度学习整理一波。</p> <h3>0x01 事件背景</h3> <p>根据@StarPlatinumSOL的描述,JS开发者在一个奇怪的构建错误中发现了这个事情,错误显示fetch(JS原生函数)未定义,然后在检查代码过程中他们发现了一行经过重度混淆的JS代码,该代码隐藏了类似checkethereumw的可疑函数。</p> <p style='text-align:center;'><img style='' src='https://weiyiling.cn/media/blogs/one/quick-uploads/p63/image1.png' /></p> <a href="https://weiyiling.cn/one/multi_npmjs_hijack_review#more63">查看全文 &raquo;</a><div class="item_footer"><p><small><a href="https://weiyiling.cn/one/multi_npmjs_hijack_review">Original post</a> blogged on <a href="http://b2evolution.net/">b2evolution</a>.</small></p></div>
NPM软件供应链安全事件

0x00 前言

这2天NPM仓库又遭受严重的供应链攻击,看起来性质和LedgerHQ库的事件差不多,目的也是盗窃加密货币。虽然这次并没有成功盗取到币,但是影响范围巨大,目前至少已发现了24款核心库被黑,包括chalk和debug等知名的JS库,这些库每周有着超过20亿级别的下载量,对JavaScript生态圈造成了巨大的冲击。今天也是看到朋友圈在转发,就趁着热度学习整理一波。

0x01 事件背景

根据@StarPlatinumSOL的描述,JS开发者在一个奇怪的构建错误中发现了这个事情,错误显示fetch(JS原生函数)未定义,然后在检查代码过程中他们发现了一行经过重度混淆的JS代码,该代码隐藏了类似checkethereumw的可疑函数。

查看全文 »

Original post blogged on b2evolution.

]]> https://weiyiling.cn/one/multi_npmjs_hijack_review#comments https://weiyiling.cn/one/?tempskin=_rss2&disp=comments&p=63 LedgerHQ软件供应链安全事件 https://weiyiling.cn/one/ledgerhq_npmjs_hijack_review Sun, 27 Oct 2024 01:29:00 +0000 维先生 供应链安全 恶意代码分析 62@https://weiyiling.cn/ <div><div><a href="https://weiyiling.cn/media/blogs/one/quick-uploads/p62/back.png?mtime=1756805891" rel="lightbox[p62]" id="link_995"><img alt="LedgerHQ软件供应链安全事件" src="https://weiyiling.cn/media/blogs/one/quick-uploads/p62/_evocache/back.png/fit-320x320.png?mtime=1756805891" width="320" height="213" class="loadimg" /></a></div></div><h3>0x00 前言</h3> <p>写这篇的文章的原因如下:</p> <p>1、 去年有及时关注到这起供应链攻击事件,但由于不熟悉区块链安全以及对关键代码的解密困难未能深入分析,就先收藏留存;</p> <p>2、 对区块链安全的兴趣日益加深,以及职业发展需求驱动下开始尝试学习储备相关知识技能;</p> <p>3、 最近突然对关键代码的解密有所突破,并借助AI工具加速分析和理解;</p> <p>4、 未在互联网上找到与此相关的技术细节方面(可能是个人关注的角度)的分析,希望能分享一些学习过程中的新发现,为安全社区贡献一点绵薄之力;</p> <p>5、 软件供应链攻击的分析专题补充一类涉及NPM投毒、区块链相关的经典案例。</p> <h3>0x01 事件背景</h3> <p>2023年12月份在推特上关注到慢雾科技的余弦大大在播报这个软件供应链攻击事件,大致了解到知名的硬件钱包厂商Ledger维护的一个JS库被篡改,影响了很多dApps(去中心化)应用,更传奇的是听说黑客转走了很多用户的加密货币。</p> <p><a href="https://twitter.com/evilcos/status/1735285800101884272" target="_blank">https://twitter.com/evilcos/status/1735285800101884272</a></p> <p style='text-align:center;'><img style='' src='https://weiyiling.cn/media/blogs/one/quick-uploads/p62/image1.png' /></p> <a href="https://weiyiling.cn/one/ledgerhq_npmjs_hijack_review#more62">查看全文 &raquo;</a><div class="item_footer"><p><small><a href="https://weiyiling.cn/one/ledgerhq_npmjs_hijack_review">Original post</a> blogged on <a href="http://b2evolution.net/">b2evolution</a>.</small></p></div>
LedgerHQ软件供应链安全事件

0x00 前言

写这篇的文章的原因如下:

1、 去年有及时关注到这起供应链攻击事件,但由于不熟悉区块链安全以及对关键代码的解密困难未能深入分析,就先收藏留存;

2、 对区块链安全的兴趣日益加深,以及职业发展需求驱动下开始尝试学习储备相关知识技能;

3、 最近突然对关键代码的解密有所突破,并借助AI工具加速分析和理解;

4、 未在互联网上找到与此相关的技术细节方面(可能是个人关注的角度)的分析,希望能分享一些学习过程中的新发现,为安全社区贡献一点绵薄之力;

5、 软件供应链攻击的分析专题补充一类涉及NPM投毒、区块链相关的经典案例。

0x01 事件背景

2023年12月份在推特上关注到慢雾科技的余弦大大在播报这个软件供应链攻击事件,大致了解到知名的硬件钱包厂商Ledger维护的一个JS库被篡改,影响了很多dApps(去中心化)应用,更传奇的是听说黑客转走了很多用户的加密货币。

https://twitter.com/evilcos/status/1735285800101884272

查看全文 »

Original post blogged on b2evolution.

]]> https://weiyiling.cn/one/ledgerhq_npmjs_hijack_review#comments https://weiyiling.cn/one/?tempskin=_rss2&disp=comments&p=62 一款SQLServer木马分析 https://weiyiling.cn/one/sqlserver_trojan_analysis Wed, 11 Jan 2023 09:18:00 +0000 维先生 恶意代码分析 59@https://weiyiling.cn/ <div><div><a href="https://weiyiling.cn/media/blogs/one/quick-uploads/p59/pc-malware.png?mtime=1674123497" rel="lightbox[p59]" id="link_975"><img alt="一款SQLServer木马分析" src="https://weiyiling.cn/media/blogs/one/quick-uploads/p59/_evocache/pc-malware.png/fit-320x320.png?mtime=1674123497" width="320" height="180" class="loadimg" /></a></div></div><p>最近看到一些国内外的sqlserver服务遭受攻击,可能通过SQL弱口令进入,运行powershell下载执行木马如bNBbZUh.exe。</p> <p style='text-align:center;'><img style=' ' src='https://weiyiling.cn/media/blogs/one/quick-uploads/p59/clip_image001.png' /></p> <h2>运行流程分析</h2> <a href="https://weiyiling.cn/one/sqlserver_trojan_analysis#more59">查看全文 &raquo;</a><div class="item_footer"><p><small><a href="https://weiyiling.cn/one/sqlserver_trojan_analysis">Original post</a> blogged on <a href="http://b2evolution.net/">b2evolution</a>.</small></p></div>
一款SQLServer木马分析

最近看到一些国内外的sqlserver服务遭受攻击,可能通过SQL弱口令进入,运行powershell下载执行木马如bNBbZUh.exe。

运行流程分析

查看全文 »

Original post blogged on b2evolution.

]]> https://weiyiling.cn/one/sqlserver_trojan_analysis#comments https://weiyiling.cn/one/?tempskin=_rss2&disp=comments&p=59 Firefox在野0day分析 https://weiyiling.cn/one/firefox_0day_case_analysis Thu, 03 Mar 2022 01:40:00 +0000 维先生 漏洞分析 53@https://weiyiling.cn/ <div><div><a href="https://weiyiling.cn/media/blogs/one/quick-uploads/p53/firefox-0day.png?mtime=1674094616" rel="lightbox[p53]" id="link_877"><img alt="Firefox在野0day分析" src="https://weiyiling.cn/media/blogs/one/quick-uploads/p53/_evocache/firefox-0day.png/fit-320x320.png?mtime=1674094616" width="320" height="180" class="loadimg" /></a></div></div><h2>RCE部分</h2> <p>在渲染进程通过一个JS脚本利用XSL对象解析的UAF漏洞执行远程ShellCode。</p> <h3>漏洞原理</h3> <p>利用程序首先定义一些XML,内部包含多个XSL对象。</p> <p style='text-align:center;'><img style='' src='https://weiyiling.cn/media/blogs/one/quick-uploads/p53/clip_image001.png' /></p> <p>随后调用transformToDocument方法导致Convert函数被调用。</p> <a href="https://weiyiling.cn/one/firefox_0day_case_analysis#more53">查看全文 &raquo;</a><div class="item_footer"><p><small><a href="https://weiyiling.cn/one/firefox_0day_case_analysis">Original post</a> blogged on <a href="http://b2evolution.net/">b2evolution</a>.</small></p></div>
Firefox在野0day分析

RCE部分

在渲染进程通过一个JS脚本利用XSL对象解析的UAF漏洞执行远程ShellCode。

漏洞原理

利用程序首先定义一些XML,内部包含多个XSL对象。

随后调用transformToDocument方法导致Convert函数被调用。

查看全文 »

Original post blogged on b2evolution.

]]> https://weiyiling.cn/one/firefox_0day_case_analysis#comments https://weiyiling.cn/one/?tempskin=_rss2&disp=comments&p=53 PhpStudyGhost软件供应链安全事件 https://weiyiling.cn/one/phpstudyghost_review Tue, 25 Jan 2022 07:24:00 +0000 维先生 供应链安全 52@https://weiyiling.cn/ <div><div><a href="https://weiyiling.cn/media/blogs/one/quick-uploads/p52/phpstudy5.png?mtime=1643095132" rel="lightbox[p52]" id="link_858"><img alt="PhpStudyGhost软件供应链安全事件" src="https://weiyiling.cn/media/blogs/one/quick-uploads/p52/_evocache/phpstudy5.png/fit-320x320.png?mtime=1643095132" width="320" height="263" class="loadimg" /></a></div></div><h3>0x00 前言</h3> <p>前一篇分析的华硕影锤供应链攻击是通过修补官方升级程序植入后门,并将其替换到官方升级服务器从而利用升级通道进行投毒攻击。本篇分享的PhpStudy软件后门事件有点相类似,攻击者入侵官网下载服务器后将植入后门的版本与原软件包替换,成功借助这款公益性软件非法控制67万余台计算机并盗取帐号密码等10万多组数据。该案例最早可以追溯到2016年,直至2018年12月才首次漏出痕迹被立案调查,并于2019年9月最终披露,时间跨度之长在众多软件供应链攻击案例中也算是名列前茅的。并且由于该软件和后门的特殊性,以至于“一石激起千层浪”,在该案件披露后不仅各大安全厂商在争相报导,同时也让各路黑客疯狂收割“肉鸡”服务器、网站管理员加班加点排查防护。</p> <h3>0x01 事件背景</h3> <a href="https://weiyiling.cn/one/phpstudyghost_review#more52">查看全文 &raquo;</a><div class="item_footer"><p><small><a href="https://weiyiling.cn/one/phpstudyghost_review">Original post</a> blogged on <a href="http://b2evolution.net/">b2evolution</a>.</small></p></div>
PhpStudyGhost软件供应链安全事件

0x00 前言

前一篇分析的华硕影锤供应链攻击是通过修补官方升级程序植入后门,并将其替换到官方升级服务器从而利用升级通道进行投毒攻击。本篇分享的PhpStudy软件后门事件有点相类似,攻击者入侵官网下载服务器后将植入后门的版本与原软件包替换,成功借助这款公益性软件非法控制67万余台计算机并盗取帐号密码等10万多组数据。该案例最早可以追溯到2016年,直至2018年12月才首次漏出痕迹被立案调查,并于2019年9月最终披露,时间跨度之长在众多软件供应链攻击案例中也算是名列前茅的。并且由于该软件和后门的特殊性,以至于“一石激起千层浪”,在该案件披露后不仅各大安全厂商在争相报导,同时也让各路黑客疯狂收割“肉鸡”服务器、网站管理员加班加点排查防护。

0x01 事件背景

查看全文 »

Original post blogged on b2evolution.

]]> https://weiyiling.cn/one/phpstudyghost_review#comments https://weiyiling.cn/one/?tempskin=_rss2&disp=comments&p=52 ShadowHammer华硕影锤软件供应链安全事件 https://weiyiling.cn/one/shadowhammer_review Tue, 21 Dec 2021 04:10:00 +0000 维先生 供应链安全 51@https://weiyiling.cn/ <div><div><a href="https://weiyiling.cn/media/blogs/one/quick-uploads/p51/shadowhammer.png?mtime=1640059786" rel="lightbox[p51]" id="link_827"><img alt="ShadowHammer华硕影锤软件供应链安全事件" src="https://weiyiling.cn/media/blogs/one/quick-uploads/p51/_evocache/shadowhammer.png/fit-320x320.png?mtime=1640059786" width="320" height="180" class="loadimg" /></a></div></div><h3>0x00 前言</h3> <p>之前分析的Xshell和CCleaner软件供应链攻击案例都是从软件开发的源头上开始投毒,本篇分享的华硕电脑供应链后门事件则有些不同,它是属于另外一种形式的典型供应链攻击,即利用软件的升级更新渠道向目标用户端进行投毒。该类型的软件供应链攻击如果经过精心部署,其攻击效果有可能同此案例一样达到一种新的高度,因为该攻击活动一直未被发现直到行动结束很久才被发现,卡巴斯基认为其在复杂性和技术上与Xshell和CCleaner事件相当甚至超过。</p> <h3>0x01 事件背景</h3> <p>2019年3月25日,卡巴斯基实验室发布报告公开了影锤(ShadowHammer)行动,披露攻击者利用华硕实时更新软件进行的供应链攻击。</p> <a href="https://weiyiling.cn/one/shadowhammer_review#more51">查看全文 &raquo;</a><div class="item_footer"><p><small><a href="https://weiyiling.cn/one/shadowhammer_review">Original post</a> blogged on <a href="http://b2evolution.net/">b2evolution</a>.</small></p></div>
ShadowHammer华硕影锤软件供应链安全事件

0x00 前言

之前分析的Xshell和CCleaner软件供应链攻击案例都是从软件开发的源头上开始投毒,本篇分享的华硕电脑供应链后门事件则有些不同,它是属于另外一种形式的典型供应链攻击,即利用软件的升级更新渠道向目标用户端进行投毒。该类型的软件供应链攻击如果经过精心部署,其攻击效果有可能同此案例一样达到一种新的高度,因为该攻击活动一直未被发现直到行动结束很久才被发现,卡巴斯基认为其在复杂性和技术上与Xshell和CCleaner事件相当甚至超过。

0x01 事件背景

2019年3月25日,卡巴斯基实验室发布报告公开了影锤(ShadowHammer)行动,披露攻击者利用华硕实时更新软件进行的供应链攻击。

查看全文 »

Original post blogged on b2evolution.

]]> https://weiyiling.cn/one/shadowhammer_review#comments https://weiyiling.cn/one/?tempskin=_rss2&disp=comments&p=51 CCleanerGhost软件供应链安全事件 https://weiyiling.cn/one/ccleanerghost_review Thu, 18 Nov 2021 09:04:00 +0000 维先生 供应链安全 50@https://weiyiling.cn/ <div><div><a href="https://weiyiling.cn/media/blogs/one/quick-uploads/p50/ccleaner-hacked.jpg?mtime=1637226173" rel="lightbox[p50]" id="link_794"><img alt="CCleanerGhost软件供应链安全事件" src="https://weiyiling.cn/media/blogs/one/quick-uploads/p50/_evocache/ccleaner-hacked.jpg/fit-320x320.jpg?mtime=1637226173" width="320" height="147" class="loadimg" /></a></div></div><h3>0x00 前言</h3> <p>2017年可以算是软件供应链攻击高发的一年,上个“XshellGhost”案例的发生时间是2017年七月份,随后2个月在2017年九月份又爆出了另外一起在国外影响深远的类似事件“CClenerGhost”。该事件也是一起针对IT基础设施平台(软件)的经典供应链攻击案例,攻击者利用植入其中的后门代码作跳板来实施渗透到其他大型IT公司的目标,其攻击水平和渗透能力也是比较突出,甚至在某些方面可能与“XshellGhost”案例存在一定的关联性和相似性。</p> <h3>0x01 事件背景</h3> <p>本次事件的重要时间节点如下所示。</p> <a href="https://weiyiling.cn/one/ccleanerghost_review#more50">查看全文 &raquo;</a><div class="item_footer"><p><small><a href="https://weiyiling.cn/one/ccleanerghost_review">Original post</a> blogged on <a href="http://b2evolution.net/">b2evolution</a>.</small></p></div>
CCleanerGhost软件供应链安全事件

0x00 前言

2017年可以算是软件供应链攻击高发的一年,上个“XshellGhost”案例的发生时间是2017年七月份,随后2个月在2017年九月份又爆出了另外一起在国外影响深远的类似事件“CClenerGhost”。该事件也是一起针对IT基础设施平台(软件)的经典供应链攻击案例,攻击者利用植入其中的后门代码作跳板来实施渗透到其他大型IT公司的目标,其攻击水平和渗透能力也是比较突出,甚至在某些方面可能与“XshellGhost”案例存在一定的关联性和相似性。

0x01 事件背景

本次事件的重要时间节点如下所示。

查看全文 »

Original post blogged on b2evolution.

]]> https://weiyiling.cn/one/ccleanerghost_review#comments https://weiyiling.cn/one/?tempskin=_rss2&disp=comments&p=50 XShellGhost软件供应链安全事件 https://weiyiling.cn/one/xshellghost_review Sun, 07 Nov 2021 13:57:00 +0000 维先生 供应链安全 49@https://weiyiling.cn/ <div><div><a href="https://weiyiling.cn/media/blogs/one/quick-uploads/p49/xshellghost.png?mtime=1636293246" rel="lightbox[p49]" id="link_747"><img alt="XShellGhost软件供应链安全事件" src="https://weiyiling.cn/media/blogs/one/quick-uploads/p49/_evocache/xshellghost.png/fit-320x320.png?mtime=1636293246" width="320" height="178" class="loadimg" /></a></div></div><h3>0x00 前言</h3> <p>如果说,作为“软件供应链攻击”的典型案例,XCodeGhost事件虽然影响面较大,但其本质上毕竟只是作为软件推广的小后门而存在,攻击性并不显著。本文将分析的XShellGhost后门案例则是继XCodeGhost之后下一个 “供应链安全”的经典案例,并且相较之下其攻击特征尤其突出,技术水准也直线上升,是真正令人细思极恐的高级幽灵。</p> <h3>0x01 事件背景</h3> <p>2017年7月,著名安全公司卡巴斯基通过在合作伙伴的网络环境中分析可疑的DNS请求发现了NetSarang(XShell所属公司)生产和分发的软件最新版本已被秘密修改,用于包含可以让攻击者远程激活的加密载荷。之后卡巴斯基通知厂商与其发布了联合安全声明,并以“Shadowpad”来命名此类软件后门(国内安全厂商则习惯将其命名XShellGhost)。</p> <a href="https://weiyiling.cn/one/xshellghost_review#more49">查看全文 &raquo;</a><div class="item_footer"><p><small><a href="https://weiyiling.cn/one/xshellghost_review">Original post</a> blogged on <a href="http://b2evolution.net/">b2evolution</a>.</small></p></div>
XShellGhost软件供应链安全事件

0x00 前言

如果说,作为“软件供应链攻击”的典型案例,XCodeGhost事件虽然影响面较大,但其本质上毕竟只是作为软件推广的小后门而存在,攻击性并不显著。本文将分析的XShellGhost后门案例则是继XCodeGhost之后下一个 “供应链安全”的经典案例,并且相较之下其攻击特征尤其突出,技术水准也直线上升,是真正令人细思极恐的高级幽灵。

0x01 事件背景

2017年7月,著名安全公司卡巴斯基通过在合作伙伴的网络环境中分析可疑的DNS请求发现了NetSarang(XShell所属公司)生产和分发的软件最新版本已被秘密修改,用于包含可以让攻击者远程激活的加密载荷。之后卡巴斯基通知厂商与其发布了联合安全声明,并以“Shadowpad”来命名此类软件后门(国内安全厂商则习惯将其命名XShellGhost)。

查看全文 »

Original post blogged on b2evolution.

]]> https://weiyiling.cn/one/xshellghost_review#comments https://weiyiling.cn/one/?tempskin=_rss2&disp=comments&p=49